Chuỗi kết nối Các phương pháp hay nhất

Question

Cách tốt nhất để quản lý chuỗi kết nối trong ứng dụng web là gì, từ quan điểm bảo mật? Tôi đã thực hiện nó theo nhiều cách khác nhau. Tôi đã lưu trữ chúng như là các phím thiết lập web.config văn bản thuần túy. Tôi cũng đã tạo một lớp "Constants" có các thuộc tính chuỗi chỉ đọc công khai cho mỗi chuỗi kết nối.

Có ai có bất kỳ đề xuất nào để quản lý các chuỗi kết nối theo cách mà tôi sẽ không lo ngại về việc chúng bị phát hiện độc hại không? Tôi chắc chắn mở để mã hóa.

Answer 1

bạn có thể encrypt your connection strings trong tệp web.config của mình.

lưu trữ chuỗi kết nối trong một lớp dưới dạng thuộc tính hoặc hằng số không an toàn. bất cứ ai sử dụng một disassembler có thể thấy chuỗi kết nối của bạn.

cách tốt nhất là mã hóa cấu hình.

Answer 2

Bạn có thể mã hóa và giải mã các phần của web.config của bạn bằng cách sử dụng công cụ dòng lệnh aspnet_regiis:

Encrypt: aspnet_regiis -pef "connectionStrings" "c: \ thư mục \"

Decrypt: aspnet_regiis -pdf "connectionStrings" "c: \ thư mục \"

Answer 3

@vartec: đó không phải là khá SNAFU ..

IIS thực sự có thể đọc văn bản được mã hóa nếu bạn mã hóa nó bằng cách sử Đô chuẩn Cơ chế mã hóa ET không phá vỡ bất kỳ mã hóa UTF8 hoặc Unicode nào. Microsoft cũng khuyến khích điều này như một phương pháp hay nhất.

Bạn có thể xem mẫu trên mã hóa chuỗi kết nối từ này:

"Làm thế nào để: Strings kết nối an toàn khi sử dụng Data Source Controls"

http://msdn.microsoft.com/en-us/library/dx0f3cf2.aspx

Answer 4

Nếu bạn có toàn quyền kiểm soát máy chủ bạn cũng có thể lưu trữ chuỗi kết nối trong Machine.Config của bạn. Điều này có thể thuận tiện nếu bạn có nhiều ứng dụng hoạt động với cùng một máy chủ DB.

Tôi không chắc liệu giá trị của nó có mã hóa nó hay không vì bạn phải truy cập vào máy chủ ở nơi đầu tiên để xem machine.config. Và nếu máy chủ của bạn bị xâm phạm thì Encyrption sẽ không ngăn hacker lấy thông tin từ tập tin cấu hình.